Hoe voorkom je als CISO dat je een burn-out krijgt?

In de koffiebar op securityconferenties en tijdens diners met leidinggevenden is men het over één ding vrijwel unaniem eens: de functie van CISO wordt steeds zwaarder. Ondanks hogere salarissen en meer beschikbare middelen zet deze trend zich door, waardoor securityleiders steeds meer stress ervaren of zelfs een burn-out krijgen.

De oorzaken van stress

Er zijn meerdere oorzaken voor deze toenemende druk. Een daarvan is dat er sprake is van een sneeuwbaleffect. Veel securityleiders begonnen ooit met IT-beveiliging, wat uitgroeide tot informatiebeveiliging en vervolgens cybersecurity werd. Steeds namen de verantwoordelijkheden toe. Nu betreden we het tijdperk van 'cyberweerbaarheid', dat eigenlijk alles omvat.

Een andere reden is dat zowel onze organisaties als onze maatschappelijke systemen steeds complexer worden. Dit leidt tot chaotisch, onvoorspelbaar systeemgedrag, binnen een maatschappij die steeds afhankelijker is van deze systemen. Het gevolg is dat we leven in een samenleving die steeds kwetsbaarder wordt voor heet falen van systemen.

Als kers op deze afschuwelijke taart krijgen CISO's te maken met juridische straffen voor hun handelen, zoals jarenlange gevangenisstraffen of torenhoge boetes. Het is geen verrassing dat veel CISO's overwegen op te stappen en dat steeds meer medewerkers al duidelijk hebben gemaakt dat de 'topfunctie' niets voor hen is?

"Ik voel me oké, echt waar!"

Velen van ons denken dat we de stress wel kunnen verdragen, maar een burn-out voel je zelden aankomen. In extreme gevallen zijn er fysieke symptomen, zoals pijn op de borst of paniekaanvallen. Meestal blijven de problemen echter onopgemerkt, vaak met behulp van zelfmedicatie zoals alcohol, of door zich regelmatig af te zonderen van familie en vrienden.

Een burn-out is echter explosief en ontstaat meestal plotseling wanneer een onbeduidende situatie opeens te veel wordt. Voor het individu is het meestal moeilijk om een burn-out te zien aankomen, hoewel familie, vrienden en collega's er wel enig zicht op kunnen hebben.

Bovendien kan stress onze ethiek ondermijnen. Bepaalde data over het hoofd zien of de situatie net iets rooskleuriger voorstellen, kan verleidelijk zijn als je daarmee voorkomt dat je tijdens de volgende bestuursvergadering onder extra druk en stress komt te staan. Dit kan echter leiden tot een opeenvolging van slechte keuzes, met mogelijk catastrofale gevolgen.

Dus hoe kunnen we dit aanpakken en toch succesvol zijn zonder dat onze geestelijke gezondheid en ethiek in gevaar komen?

Het antwoord is niet eenvoudig. In feite is de oplossing zelfs vreselijk vaag: simpel gezegd moet iedereen zijn eigen pad bewandelen, want we verwerken dingen allemaal op onze eigen manier. Maar besef wel dat je een pad moet vinden, en wees je bewust van dat pad! Coping-mechanismen werken veel beter als je je ervan bewust bent en de positieve (zoals lichaamsbeweging of dankbaarheid) kunt toepassen en de negatieve (zoals sociaal isolement of alcohol) kunt beperken.

Zet eerst je eigen zuurstofmasker op

Goed voor jezelf zorgen is essentieel, en dat kan op vele manieren. Misschien weiger je problemen te laten etteren door ze regelmatig onder ogen te zien. Bijvoorbeeld door elke dag een moeilijk probleem aan te pakken en een oplossing te vinden. Als dat niet lukt, stel de kwestie dan niet eindeloos uit. Vraag je collega's om input, advies en hulp.

Een veel voorkomende stressveroorzaker is de continu veranderende context. Dit gebeurt doordat de functie van securityleider tegenwoordig zo divers is. Overweeg grenzen en regels op te stellen voor jezelf en je team. Zorg bijvoorbeeld dat er tussen vergaderingen vijf minuten pauze wordt gehouden om een stapje terug te doen, adem te halen en te resetten voor de volgende uitdaging.

Een zorgcultuur creëren

We moeten niet alleen aan onszelf denken. Wij hebben als leiders de verantwoordelijkheid om ervoor te zorgen dat dit probleem geen gevolgen heeft voor de mensen die op ons of ons personeel rekenen. Schep een klimaat waarbij je team zoekt naar tekenen van stress bij collega's en vraag hen hetzelfde te doen bij jou. Vergeet niet dat een burn-out vaak beter te zien is aan de buitenkant.

Besef ook dat je personeel slechts het topje van de ijsberg is. Achter elk van hen staat een familie die hen steunt, hen aanmoedigt, en hen vergeeft als ze weer eens in de nacht of het weekend moeten werken. Bedank de achterban van je personeel voor hun moeite en opofferingen zodat jij je functie optimaal kunt uitvoeren.

Het rechte pad volgen

Het is essentieel dat we leidinggeven aan teams waarin 'het juiste doen' de enige manier van doen is. Joe Sullivan, voormalig beveiligingschef van Uber, had als taak de toezichthouder te informeren over eventuele overtredingen. Maar had die verantwoordelijkheid niet beter bij Compliance of Legal kunnen liggen? Identificeer deze potentiële problemen en maak anderen verantwoordelijk.

Belangrijker is echter dat je jezelf een ethisch ‘kompas’ geeft. We hebben allemaal onze eigen doelen, taken en ambities. In tijden van stress is het echter gemakkelijk om deze uit het oog te verliezen en je alleen te richten op het probleem dat voor je ligt. Schrijf je persoonlijke principes op en zorg dat je ze altijd bij je hebt als referentiekader.

Als je functie van je vraagt om beslissingen te nemen die je als onethisch beschouwt, vraag je dan af of het tijd is om uit die functie te stappen. Besef dat wij als security leaders een enorm vangnet hebben en dat je met de juiste ethiek en reputatie altijd werk zult vinden. Maar zonder ethiek zal dat vangnet niets waard zijn.

Andy Rose, Resident CISO, Proofpoint